كيف كشفت كلمة المرور المنشورة عن طريق الخطأ عن كود مصدر مرسيدس-بنز
كشفت شركة مرسيدس بنز عن طريق الخطأ عن مجموعة كبيرة من البيانات الداخلية بعد ترك مفتاح أمان عبر الإنترنت يمنح “وصولاً غير مقيد” إلى الكود المصدري للشركة، وفقًا لشركة الأبحاث الأمنية التي اكتشفته.
وقد نبه شوبهام ميتال، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في RedHunt Labs، موقع TechCrunch إلى هذا التعرض وطلب المساعدة في الكشف عن الأمر لشركة صناعة السيارات. وقالت شركة الأمن السيبراني ومقرها لندن إنها اكتشفت رمز المصادقة الخاص بموظف مرسيدس في مستودع GitHub العام أثناء فحص روتيني للإنترنت في يناير.
وفقًا لميتال، فإن هذا الرمز المميز – وهو بديل لاستخدام كلمة مرور للمصادقة على GitHub – يمكن أن يمنح أي شخص حق الوصول الكامل إلى GitHub Enterprise Server من مرسيدس، مما يسمح بتنزيل مستودعات كود المصدر الخاصة بالشركة.
أوضح ميتال في تقرير شاركته TechCrunch: “منح رمز GitHub وصولاً “غير مقيد” و”غير مراقب” إلى كود المصدر بالكامل المستضاف على خادم GitHub Enterprise Server الداخلي”. “تتضمن المستودعات كمية كبيرة من الملكية الفكرية… سلاسل الاتصال، ومفاتيح الوصول إلى السحابة، والمخططات، ومستندات التصميم، [single sign-on] كلمات المرور ومفاتيح API والمعلومات الداخلية الهامة الأخرى.
قدمت ميتال إلى TechCrunch أدلة على أن المستودعات المكشوفة تحتوي على مفاتيح Microsoft Azure وAmazon Web Services (AWS)، وقاعدة بيانات Postgres، وكود مصدر مرسيدس. من غير المعروف ما إذا كانت هناك أي بيانات للعملاء موجودة في المستودعات.
كشفت TechCrunch عن المشكلة الأمنية لمرسيدس يوم الاثنين. وفي يوم الأربعاء، أكدت كاتيا ليسنفيلد، المتحدثة باسم مرسيدس، أن الشركة “ألغت رمز واجهة برمجة التطبيقات الخاص بها وأزالت المستودع العام على الفور”.
وقال ليسنفيلد في بيان لموقع TechCrunch: “يمكننا أن نؤكد أن كود المصدر الداخلي تم نشره في مستودع GitHub العام عن طريق خطأ بشري”. “يعد أمان مؤسستنا ومنتجاتنا وخدماتنا أحد أهم أولوياتنا.”
“سنواصل تحليل هذه الحالة وفقًا لعملياتنا العادية. وأضاف ليسنفيلد: “اعتمادًا على ذلك، نقوم بتنفيذ الإجراءات العلاجية”.
من غير المعروف ما إذا كان أي شخص آخر غير ميتال قد اكتشف المفتاح المكشوف، والذي تم نشره عن طريق الخطأ في أواخر سبتمبر 2023.
ورفضت مرسيدس الإفصاح عما إذا كانت على علم بأي وصول لطرف ثالث إلى البيانات المكشوفة أو ما إذا كانت الشركة لديها القدرة الفنية، مثل سجلات الوصول، لتحديد ما إذا كان هناك أي وصول غير مناسب إلى مستودعات البيانات الخاصة بها. وأشار المتحدث إلى أسباب أمنية لم يحددها.
في الأسبوع الماضي، ذكرت TechCrunch حصريًا أن شركة Hyundai التابعة لشركة Hyundai في الهند أصلحت خطأً أدى إلى كشف المعلومات الشخصية لعملائها، بما في ذلك الأسماء والعناوين البريدية وعناوين البريد الإلكتروني وأرقام هواتف عملاء Hyundai Motor India، الذين تمت صيانة سياراتهم في المحطات المملوكة لشركة Hyundai في جميع أنحاء البلاد. الهند.
